加载中…PCI_DSS_v4.0变更系列之七——第四大类要求点
(2022-09-15 11:43:05)
标签:
atsecpcipcidsspci标准pci标准变更 |
要求点变更的说明之第四大类:实施强有力的访问控制措施
要求 7:根据“必须知道”原则限制系统组件和持卡人数据的访问权限
要求 7.2.4 增加了对账号检查的要求。
要求 7.2.5.1 增加了对来自于应用和系统账号的访问的检查要求。
原 v3.2.1 的要求8.7 整合到v4.0 的要求7.2.6。
1.1
要求8:识别用户并验证系统组件的访问权限
要求 8 的介绍章节强调了适用性,对应的要求适用于所有的系统组件账号,包括但不限于POS账号、管理账号、系统及应用账号、用于查看/访问持卡人数据及其系统的账号等。
主要变化的要求点如下:
要求 8.2.2 进一步明确了组、共享和通用账号的使用要求,限定于严格要求下的例外场景。
要求 8.3.9 和8.3.10.1 使用密码登陆的情形,对密码变更有90
天的频率要求,增加了可基于安全态势进行分析的选项,更具灵活性。
要求 8.6.1-8.6.3 对系统/系统账号用于交互式登陆的情形,提出了明确的要求。
1.2 要求9:限制持卡人数据的实体访问权限
要求 9 与之前的v3.2.1 版本的内容基本一致,较显著的变化如下:
要求 9.5.1.2.1,通过风险评估确定对POI 设备的检查频率,更具灵活性。
喜欢
0
赠金笔
前一篇:确保软件供应链的安全(英文文章)